[[イーバンク銀行が導入したキーワード確認機能はフィッシング詐欺防止にならない|http://www.securityfocus.com/archive/79/376018]]

ユーザがパスワードの前半をサイトに入力してボタンを押したとき、自分の登録キーワードが画面に表示されたからといって、それが本物サイトであるとは限らない。 なぜなら、同じ画面を偽サイト上に構築し、騙して入力させた前半のパスワードと口座番号を、偽サイトが本物サイトに送信すれば、偽サイトは本物の「登録キーワード」を入手することができるのであるから、それを偽サイトの画面上に表示できてしまう。

キーワード確認機能の記事はちょっと前に読んだ記憶があるけど、こんな簡単な欠点があることに気がつかなかった…。 いわゆる中間者攻撃 (Man in the middle attack) の一種かな。

この手法でいくと、「偽サイトは完全に本物のサイトになりすますことができる」ってことになる。 見破る手法は、アドレスバーの確認のみ…か。 Firefoxのように、SSLを使っているサイトではアドレスバーを黄色にするといった対策が重要なんだろうな。

しかし、銀行の関係者もメディアも、この欠点に気がついていなかったのか、それとも気がつかないフリをしていたのか…。